SlideShare una empresa de Scribd logo

Honeypots2006 2007

Juan Antonio Gil Martínez-Abarca
Juan Antonio Gil Martínez-Abarca

Transparencias sobre Honeypots de Experto Seguridad - Universidad de Almería - 2006-2007

Internet
1 de 16
Experto en Administración y Seguridad de Sistemas Informáticos Módulo: Sistemas de Detección de Intrusos Profesor: Juan Antonio Gil Martínez-Abarca Curso Escolar: 2006/2007 Experto en Administración y Seguridad de Sistemas Informáticos
Tabla de Contenidos • honeypots: Detección de intrusos basada en señuelos • Características • Funcionamiento • Prácticas: Honeyd Experto en Administración y Seguridad de Sistemas Informáticos
Características • Honeyd: Permite una detección temprana de actividad no autorizada. Opensource y existe también para Windows. • De baja interacción y simula servicios y sistemas operativos • Fácil de configurar y mantener • Su función principal es monitorizar el espacio de direcciones no utilizado para interceptar conexiones a sistemas no existentes, para fingir ser ellos y capturar y registrar el ataque. • Tanto para TCP como UDP, pudiéndose configurar para que se monitoricen puertos específicos. Experto en Administración y Seguridad de Sistemas Informáticos
Características • Monitoriza y simula el comportamiento esperado, pe un servidor FTP o Web  Si el atacante hace algo inesperado no sabe cómo responder y genera un mensaje de error • Una de sus grandes características es que podemos asignar a cada uno de nuestros dispositivos virtuales el SO que queramos. • Simula equipos con sus servicios. • Dispone de una B.D. de fingerprints de nmap • Posibilidad de blackholing Experto en Administración y Seguridad de Sistemas Informáticos
Características • Simula redes enteras: – Con sus routers – Especificación de latencias y BW – Especificación de probabilidades de pérdidas – Posibilidad de usar túneles GRE – Posibilidad de incorporar equipos reales • Mientras el atacante se entretiene con los servicios simulados, los IDS los pueden detectar y prevenir (por ejemplo, filtrando sus IPs) Experto en Administración y Seguridad de Sistemas Informáticos
Instalación y configuración apt-get install honeyd-X honeyd-common-X dpkg –i honeyd-X • Disponible: Honeyd Linux Toolkit • Después de instalarlo, hay un fichero que se llama config.localhost con muchos dispositivos configurados. /usr/share/doc/honeyd/examples/config.localhost Experto en Administración y Seguridad de Sistemas Informáticos
Instalación • Arpd: Uso de blackholing – Permite emular máquinas virtuales sobre peticiones a IP no existentes – El atacante hace un scan de la red • Se generan por tanto peticiones ARP •Honeyd genera sus propias peticiones ARP sobre esas direcciones IP •ARP SPOOFING • Honeydsum: Analizador de logs. Genera informes filtrados por criterios • Honeycomp: Detecta los ataques y crea firmas usando reconocimiento de patrones que analizarán los IDS Experto en Administración y Seguridad de Sistemas Informáticos
Configuración • Si observamos la definición del dispositivo 10.0.0.1 de ejemplo, veremos lo siguiente: #cat /usr/share/doc/honeyd/examples/config.localhost|more ... route entry 10.0.0.1 route 10.0.0.1 link 10.0.0.0/24 ... create routerone set routerone personality "Cisco 7206 running IOS 11.1(24)" set routerone default tcp action reset add routerone tcp port 23 "router-telnet.pl" ... bind 10.0.0.1 routerone ... • Dispositivo IP 10.0.0.1, se comportara como un Cisco 7206, con IOS 11.1(24) y que reiniciará todas las conexiones TCP menos las que vayan al puerto 23 y el script router-telnet.pl (una emulación del demonio telnet) será ejecutado. Experto en Administración y Seguridad de Sistemas Informáticos
Configuración • Si observamos la definición del dispositivo 10.21.19.102 de ejemplo, veremos lo siguiente: create template set template personality "AIX 4.0 - 4.2" add template tcp port 80 "sh scripts/web.sh" add template tcp port 22 "sh scripts/test.sh $ipsrc $dport" add template tcp port 23 proxy 10.23.1.2:23 set template default tcp action reset bind 10.21.19.102 template Experto en Administración y Seguridad de Sistemas Informáticos
Ejecución honeyd -l eth0 172.16.1.1-172.16.1.66 • Desde el exterior, responderá a todo el tráfico dirigido al rango especificado escuchando a través de la NIC etho (la real) • ¿Qué hacemos con un paquete? • Hemos visto reglas set y add que, además, tienen una acción a tomar. Las acciones siguen la sintaxis: action = ["tarpit"] ("block" | "open" | "reset" | cmd-string | "internal" cmd-string | "proxy" ipaddr":"port ) Experto en Administración y Seguridad de Sistemas Informáticos
Ejecución • [tarpit]  Hace la conexión más lenta ocupando recursos del atacante • (block | open | reset) – block  Muestra el puerto como filtrado – open  Muestra el puerto como abierto – reset  Muestra el puerto como cerrado • cmd-string – executa un script que se encargará del tráfico del puerto – Existen guiones que aceptan y cortan conexiones y otros que emulan servidores enteros – Si se usa la palabra internal antes del comando, se ejecutará desde el propio honeyd, sin hacer un fork. Experto en Administración y Seguridad de Sistemas Informáticos
Funcionamiento • Windows 2000 con IIS create default set default default tcp action reset set default default udp action reset set default default icmp action reset create windowsIIS set windowsIIS personality "Microsoft Windows 2000 Server SP2" set windowsIIS default tcp action reset set windowsIIS default udp action reset add windowsIIS tcp port 80 "perl iis/iisemul8.pl" add windowsIIS tcp port 139 open add windowsIIS tcp port 137 open add windowsIIS udp port 137 open add windowsIIS udp port 135 open bind 172.16.1.2 windowsIIS Experto en Administración y Seguridad de Sistemas Informáticos
Ejecución create servidor_web set servidor_web personality "Linux kernel 2.4.18 2.4.20 (X86)" add servidor_web tcp port 80 "python HoneyWeb/HoneyWebServer0.4.py 'Apache/1.3.27 (Unix) mod_perl/1.27' $ipsrc $sport $ipdst" add servidor_web tcp port 2021 open add servidor_web tcp port 22 open create servidor_mail set servidor_mail personality "Linux kernel 2.4.18 2.4.20 (X86)" add servidor_mail tcp port 25 open add servidor_mail tcp port 110 open add servidor_mail tcp port 3306 block set servidor_mail default tcp action reset set servidor_mail default udp action reset bind 172.16.1.2 servidor_web bind 172.16.1.3 servidor_mail Experto en Administración y Seguridad de Sistemas Informáticos
Ejecución create router set router personality "Cisco IOS 11.3 12.0(11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "perl telnet/routertelnet.pl" set router uptime 1327650 bind 172.16.1.254 router route entry 172.16.1.254 network 172.16.1.0/24 route 172.16.1.254 link 10.0.0.0/16 create servidor_aplicacions set servidor_aplicacions personality "Microsoft Windows XP SP1 or Windows 2000 SP3" set servidor_aplicacions default tcp action reset set servidor_aplicacions default tcp action reset add servidor_aplicacions tcp port 3306 filtered add servidor_aplicacions tcp port 5255 filtered bind 10.0.0.1 servidor_aplicacions Experto en Administración y Seguridad de Sistemas Informáticos
Práctica • Probar con nmap las configuraciones anteriores • Simular Windows 2000 con IIS • Simular Linux Apache + MySQL • Probar ambas con nmap y comprobar qué indica. • Los guiones para simular servicios se pueden obtener (al margen del los distribuidos con el paquete): http://www.honeyd.org/contrib.php Experto en Administración y Seguridad de Sistemas Informáticos
Patrocina: Organiza: Enseñanzas Propias Universidad de Almería Escuela Politécnica Superior Universidad de Almería Experto en Administración y Seguridad de Sistemas Informáticos

Recomendados

Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006Juan Antonio Gil Martínez-Abarca
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasRafael Seg
 
Administración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesAdministración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesRodolfo Pilas
 
Instalacion y configuracion de squid 2.6 estable
Instalacion y configuracion de squid 2.6 estableInstalacion y configuracion de squid 2.6 estable
Instalacion y configuracion de squid 2.6 estableBartOc3
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
Zabbix Agent - Protocolo SNMP
Zabbix Agent - Protocolo SNMPZabbix Agent - Protocolo SNMP
Zabbix Agent - Protocolo SNMPSamuel Álvarez Sariego
 
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]RootedCON
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01Tensor
 

Recomendados

Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006Juan Antonio Gil Martínez-Abarca
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasRafael Seg
 
Administración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesAdministración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesRodolfo Pilas
 
Instalacion y configuracion de squid 2.6 estable
Instalacion y configuracion de squid 2.6 estableInstalacion y configuracion de squid 2.6 estable
Instalacion y configuracion de squid 2.6 estableBartOc3
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
Zabbix Agent - Protocolo SNMP
Zabbix Agent - Protocolo SNMPZabbix Agent - Protocolo SNMP
Zabbix Agent - Protocolo SNMPSamuel Álvarez Sariego
 
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]RootedCON
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01Tensor
 
Comandos básicos para utilizar squid o squid3
Comandos básicos para utilizar squid o squid3Comandos básicos para utilizar squid o squid3
Comandos básicos para utilizar squid o squid3ALBERTO CHUICA
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Protegiendo SIP y SSH con Fail2ban en Elastix
Protegiendo SIP y SSH con Fail2ban en ElastixProtegiendo SIP y SSH con Fail2ban en Elastix
Protegiendo SIP y SSH con Fail2ban en ElastixPaloSanto Solutions
 
Asegúr@IT II - Seguridad en VoiP
Asegúr@IT II - Seguridad en VoiPAsegúr@IT II - Seguridad en VoiP
Asegúr@IT II - Seguridad en VoiPChema Alonso
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]RootedCON
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04aTensor
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasRommel León
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSJesús Moreno León
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoPaloSanto Solutions
 
Guía de configuracion Openvpn
Guía de configuracion OpenvpnGuía de configuracion Openvpn
Guía de configuracion OpenvpnJesús Moreno León
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Remigio Salvador Sánchez
 
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En RedesLw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En Redesguest5d7f33c
 
OpenVPN
OpenVPNOpenVPN
OpenVPNBaruch Ramos
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
Squid proxy transparente en ubuntu
Squid proxy transparente en ubuntuSquid proxy transparente en ubuntu
Squid proxy transparente en ubuntuAlvaro López
 
Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Loquenecesito,com
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagiosrpm-alerts
 
Exposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixExposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixFlechaVeloz1
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar AircrackAlfredo Fiebig
 
Snort 2006
Snort 2006Snort 2006
Snort 2006Juan Antonio Gil Martínez-Abarca
 
Seguridad de las Redes
Seguridad de las RedesSeguridad de las Redes
Seguridad de las RedesAlexanderGarcia243
 

Más contenido relacionado

La actualidad más candente

Comandos básicos para utilizar squid o squid3
Comandos básicos para utilizar squid o squid3Comandos básicos para utilizar squid o squid3
Comandos básicos para utilizar squid o squid3ALBERTO CHUICA
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
Protegiendo SIP y SSH con Fail2ban en Elastix
Protegiendo SIP y SSH con Fail2ban en ElastixProtegiendo SIP y SSH con Fail2ban en Elastix
Protegiendo SIP y SSH con Fail2ban en ElastixPaloSanto Solutions
 
Asegúr@IT II - Seguridad en VoiP
Asegúr@IT II - Seguridad en VoiPAsegúr@IT II - Seguridad en VoiP
Asegúr@IT II - Seguridad en VoiPChema Alonso
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]RootedCON
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04aTensor
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasRommel León
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSJesús Moreno León
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoPaloSanto Solutions
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Remigio Salvador Sánchez
 
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En RedesLw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En Redesguest5d7f33c
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
Squid proxy transparente en ubuntu
Squid proxy transparente en ubuntuSquid proxy transparente en ubuntu
Squid proxy transparente en ubuntuAlvaro López
 
Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Loquenecesito,com
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagiosrpm-alerts
 
Exposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixExposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixFlechaVeloz1
 

La actualidad más candente (20)

Comandos básicos para utilizar squid o squid3
Comandos básicos para utilizar squid o squid3Comandos básicos para utilizar squid o squid3
Comandos básicos para utilizar squid o squid3
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
Protegiendo SIP y SSH con Fail2ban en Elastix
Protegiendo SIP y SSH con Fail2ban en ElastixProtegiendo SIP y SSH con Fail2ban en Elastix
Protegiendo SIP y SSH con Fail2ban en Elastix
 
Asegúr@IT II - Seguridad en VoiP
Asegúr@IT II - Seguridad en VoiPAsegúr@IT II - Seguridad en VoiP
Asegúr@IT II - Seguridad en VoiP
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04a
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales Corporativas
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLS
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detallado
 
Guía de configuracion Openvpn
Guía de configuracion OpenvpnGuía de configuracion Openvpn
Guía de configuracion Openvpn
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una Backdoor
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
 
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En RedesLw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
Lw2010 - Uso De La Programacion En Linux Para La Seguridad En Redes
 
OpenVPN
OpenVPNOpenVPN
OpenVPN
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria Ram
 
Squid proxy transparente en ubuntu
Squid proxy transparente en ubuntuSquid proxy transparente en ubuntu
Squid proxy transparente en ubuntu
 
Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
 
Exposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixExposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbix
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar Aircrack
 

Similar a Honeypots2006 2007

Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0wcuestas
 
5tasesionredeslibres
5tasesionredeslibres5tasesionredeslibres
5tasesionredeslibresBartOc3
 
Curso Basico Ponencia 3
Curso Basico Ponencia 3Curso Basico Ponencia 3
Curso Basico Ponencia 3Antonio Durán
 
2.1 Controles de acceso Basicos
2.1 Controles de acceso Basicos2.1 Controles de acceso Basicos
2.1 Controles de acceso BasicosDavid Narváez
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Rod Hinojosa
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Luis Sanchez
 
Policyd: Instalacion y configuracion
Policyd: Instalacion y configuracionPolicyd: Instalacion y configuracion
Policyd: Instalacion y configuracioncriscega
 
Administración de red servidores y seguridad
Administración de red servidores y seguridadAdministración de red servidores y seguridad
Administración de red servidores y seguridadEmilio
 
Ccna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devicesCcna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devicesJavier H
 
Configuracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasConfiguracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasMiguel Morales
 
Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Edwin Lopez
 

Similar a Honeypots2006 2007 (20)

Snort 2006
Snort 2006Snort 2006
Snort 2006
 
Seguridad de las Redes
Seguridad de las RedesSeguridad de las Redes
Seguridad de las Redes
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0
 
5tasesionredeslibres
5tasesionredeslibres5tasesionredeslibres
5tasesionredeslibres
 
Presentacion ugr honeypots
Presentacion ugr honeypotsPresentacion ugr honeypots
Presentacion ugr honeypots
 
Curso Basico Ponencia 3
Curso Basico Ponencia 3Curso Basico Ponencia 3
Curso Basico Ponencia 3
 
Pix (1)
Pix (1)Pix (1)
Pix (1)
 
2.1 Controles de acceso Basicos
2.1 Controles de acceso Basicos2.1 Controles de acceso Basicos
2.1 Controles de acceso Basicos
 
Entorno PHP
Entorno PHPEntorno PHP
Entorno PHP
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
 
Policyd: Instalacion y configuracion
Policyd: Instalacion y configuracionPolicyd: Instalacion y configuracion
Policyd: Instalacion y configuracion
 
Administración de red servidores y seguridad
Administración de red servidores y seguridadAdministración de red servidores y seguridad
Administración de red servidores y seguridad
 
Ccna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devicesCcna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devices
 
Configuracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasConfiguracion de Firewalls e Pasarelas
Configuracion de Firewalls e Pasarelas
 
Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Seguridaden servidores0 8-7
Seguridaden servidores0 8-7
 
4.-VirtualBox.pdf
4.-VirtualBox.pdf4.-VirtualBox.pdf
4.-VirtualBox.pdf
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 

Más de Juan Antonio Gil Martínez-Abarca

Más de Juan Antonio Gil Martínez-Abarca (14)

Servidores web: cloud
Servidores web: cloudServidores web: cloud
Servidores web: cloud
 
Pruebas del servicio web
Pruebas del servicio webPruebas del servicio web
Pruebas del servicio web
 
Aspectos nodejs
Aspectos nodejsAspectos nodejs
Aspectos nodejs
 
Servidor web nginx
Servidor web nginxServidor web nginx
Servidor web nginx
 
Apache
Apache Apache
Apache
 
Protocol HTTP
Protocol HTTPProtocol HTTP
Protocol HTTP
 
03 asor gestión de usuarios y ldap
03 asor gestión de usuarios y ldap03 asor gestión de usuarios y ldap
03 asor gestión de usuarios y ldap
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
 
08 airc hackingbuscadores - mod
08 airc hackingbuscadores - mod08 airc hackingbuscadores - mod
08 airc hackingbuscadores - mod
 
Aisi 1415 06 correo
Aisi 1415 06 correoAisi 1415 06 correo
Aisi 1415 06 correo
 
05 airc dns
05 airc dns05 airc dns
05 airc dns
 
04 girc servicio dhcp
04 girc servicio dhcp 04 girc servicio dhcp
04 girc servicio dhcp
 
Snortpracticas 2006
Snortpracticas 2006Snortpracticas 2006
Snortpracticas 2006
 
Tripwire 2006
Tripwire 2006Tripwire 2006
Tripwire 2006
 

Honeypots2006 2007

  • 1. Experto en Administración y Seguridad de Sistemas Informáticos Módulo: Sistemas de Detección de Intrusos Profesor: Juan Antonio Gil Martínez-Abarca Curso Escolar: 2006/2007 Experto en Administración y Seguridad de Sistemas Informáticos
  • 2. Tabla de Contenidos • honeypots: Detección de intrusos basada en señuelos • Características • Funcionamiento • Prácticas: Honeyd Experto en Administración y Seguridad de Sistemas Informáticos
  • 3. Características • Honeyd: Permite una detección temprana de actividad no autorizada. Opensource y existe también para Windows. • De baja interacción y simula servicios y sistemas operativos • Fácil de configurar y mantener • Su función principal es monitorizar el espacio de direcciones no utilizado para interceptar conexiones a sistemas no existentes, para fingir ser ellos y capturar y registrar el ataque. • Tanto para TCP como UDP, pudiéndose configurar para que se monitoricen puertos específicos. Experto en Administración y Seguridad de Sistemas Informáticos
  • 4. Características • Monitoriza y simula el comportamiento esperado, pe un servidor FTP o Web  Si el atacante hace algo inesperado no sabe cómo responder y genera un mensaje de error • Una de sus grandes características es que podemos asignar a cada uno de nuestros dispositivos virtuales el SO que queramos. • Simula equipos con sus servicios. • Dispone de una B.D. de fingerprints de nmap • Posibilidad de blackholing Experto en Administración y Seguridad de Sistemas Informáticos
  • 5. Características • Simula redes enteras: – Con sus routers – Especificación de latencias y BW – Especificación de probabilidades de pérdidas – Posibilidad de usar túneles GRE – Posibilidad de incorporar equipos reales • Mientras el atacante se entretiene con los servicios simulados, los IDS los pueden detectar y prevenir (por ejemplo, filtrando sus IPs) Experto en Administración y Seguridad de Sistemas Informáticos
  • 6. Instalación y configuración apt-get install honeyd-X honeyd-common-X dpkg –i honeyd-X • Disponible: Honeyd Linux Toolkit • Después de instalarlo, hay un fichero que se llama config.localhost con muchos dispositivos configurados. /usr/share/doc/honeyd/examples/config.localhost Experto en Administración y Seguridad de Sistemas Informáticos
  • 7. Instalación • Arpd: Uso de blackholing – Permite emular máquinas virtuales sobre peticiones a IP no existentes – El atacante hace un scan de la red • Se generan por tanto peticiones ARP •Honeyd genera sus propias peticiones ARP sobre esas direcciones IP •ARP SPOOFING • Honeydsum: Analizador de logs. Genera informes filtrados por criterios • Honeycomp: Detecta los ataques y crea firmas usando reconocimiento de patrones que analizarán los IDS Experto en Administración y Seguridad de Sistemas Informáticos
  • 8. Configuración • Si observamos la definición del dispositivo 10.0.0.1 de ejemplo, veremos lo siguiente: #cat /usr/share/doc/honeyd/examples/config.localhost|more ... route entry 10.0.0.1 route 10.0.0.1 link 10.0.0.0/24 ... create routerone set routerone personality "Cisco 7206 running IOS 11.1(24)" set routerone default tcp action reset add routerone tcp port 23 "router-telnet.pl" ... bind 10.0.0.1 routerone ... • Dispositivo IP 10.0.0.1, se comportara como un Cisco 7206, con IOS 11.1(24) y que reiniciará todas las conexiones TCP menos las que vayan al puerto 23 y el script router-telnet.pl (una emulación del demonio telnet) será ejecutado. Experto en Administración y Seguridad de Sistemas Informáticos
  • 9. Configuración • Si observamos la definición del dispositivo 10.21.19.102 de ejemplo, veremos lo siguiente: create template set template personality "AIX 4.0 - 4.2" add template tcp port 80 "sh scripts/web.sh" add template tcp port 22 "sh scripts/test.sh $ipsrc $dport" add template tcp port 23 proxy 10.23.1.2:23 set template default tcp action reset bind 10.21.19.102 template Experto en Administración y Seguridad de Sistemas Informáticos
  • 10. Ejecución honeyd -l eth0 172.16.1.1-172.16.1.66 • Desde el exterior, responderá a todo el tráfico dirigido al rango especificado escuchando a través de la NIC etho (la real) • ¿Qué hacemos con un paquete? • Hemos visto reglas set y add que, además, tienen una acción a tomar. Las acciones siguen la sintaxis: action = ["tarpit"] ("block" | "open" | "reset" | cmd-string | "internal" cmd-string | "proxy" ipaddr":"port ) Experto en Administración y Seguridad de Sistemas Informáticos
  • 11. Ejecución • [tarpit]  Hace la conexión más lenta ocupando recursos del atacante • (block | open | reset) – block  Muestra el puerto como filtrado – open  Muestra el puerto como abierto – reset  Muestra el puerto como cerrado • cmd-string – executa un script que se encargará del tráfico del puerto – Existen guiones que aceptan y cortan conexiones y otros que emulan servidores enteros – Si se usa la palabra internal antes del comando, se ejecutará desde el propio honeyd, sin hacer un fork. Experto en Administración y Seguridad de Sistemas Informáticos
  • 12. Funcionamiento • Windows 2000 con IIS create default set default default tcp action reset set default default udp action reset set default default icmp action reset create windowsIIS set windowsIIS personality "Microsoft Windows 2000 Server SP2" set windowsIIS default tcp action reset set windowsIIS default udp action reset add windowsIIS tcp port 80 "perl iis/iisemul8.pl" add windowsIIS tcp port 139 open add windowsIIS tcp port 137 open add windowsIIS udp port 137 open add windowsIIS udp port 135 open bind 172.16.1.2 windowsIIS Experto en Administración y Seguridad de Sistemas Informáticos
  • 13. Ejecución create servidor_web set servidor_web personality "Linux kernel 2.4.18 2.4.20 (X86)" add servidor_web tcp port 80 "python HoneyWeb/HoneyWebServer0.4.py 'Apache/1.3.27 (Unix) mod_perl/1.27' $ipsrc $sport $ipdst" add servidor_web tcp port 2021 open add servidor_web tcp port 22 open create servidor_mail set servidor_mail personality "Linux kernel 2.4.18 2.4.20 (X86)" add servidor_mail tcp port 25 open add servidor_mail tcp port 110 open add servidor_mail tcp port 3306 block set servidor_mail default tcp action reset set servidor_mail default udp action reset bind 172.16.1.2 servidor_web bind 172.16.1.3 servidor_mail Experto en Administración y Seguridad de Sistemas Informáticos
  • 14. Ejecución create router set router personality "Cisco IOS 11.3 12.0(11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "perl telnet/routertelnet.pl" set router uptime 1327650 bind 172.16.1.254 router route entry 172.16.1.254 network 172.16.1.0/24 route 172.16.1.254 link 10.0.0.0/16 create servidor_aplicacions set servidor_aplicacions personality "Microsoft Windows XP SP1 or Windows 2000 SP3" set servidor_aplicacions default tcp action reset set servidor_aplicacions default tcp action reset add servidor_aplicacions tcp port 3306 filtered add servidor_aplicacions tcp port 5255 filtered bind 10.0.0.1 servidor_aplicacions Experto en Administración y Seguridad de Sistemas Informáticos
  • 15. Práctica • Probar con nmap las configuraciones anteriores • Simular Windows 2000 con IIS • Simular Linux Apache + MySQL • Probar ambas con nmap y comprobar qué indica. • Los guiones para simular servicios se pueden obtener (al margen del los distribuidos con el paquete): http://www.honeyd.org/contrib.php Experto en Administración y Seguridad de Sistemas Informáticos
  • 16. Patrocina: Organiza: Enseñanzas Propias Universidad de Almería Escuela Politécnica Superior Universidad de Almería Experto en Administración y Seguridad de Sistemas Informáticos